Ce site fait partie d'
L'accès au droit de l'Union européenne
Rapport de la Commission au Conseil fondé sur l’article 12 de la décision-cadre du Conseil du 24 février 2005 relative aux attaques visant les systèmes d’information
/* COM/2008/0448 final */
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | |
| doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc |
| Double visualisation: BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV |
[pic] | COMMISSION DES COMMUNAUTÉS EUROPÉENNES |
Bruxelles, le 14.7.2008
COM(2008) 448 final
RAPPORT DE LA COMMISSION AU CONSEIL
fondé sur l’article 12 de la décision-cadre du Conseil du 24 février 2005 relative aux attaques visant les systèmes d’information
1. INTRODUCTION
1.1. Contexte
Le présent rapport a pour objet de déterminer si les États membres ont correctement transposé la décision-cadre 2005/222/JAI du Conseil relative aux attaques visant les systèmes d'information[1] (ci-après: «la décision-cadre») dans leur ordre juridique interne.
L'objectif principal[2] de la décision-cadre est de renforcer la coopération entre les autorités judiciaires et les autres autorités compétentes, notamment la police et les autres services spécialisés chargés de l’application de la loi dans les États membres, grâce à un rapprochement de leurs règles pénales réprimant les attaques contre les systèmes d’information. Eu égard à cet objectif, la décision-cadre vise à compléter et à développer d'autres instruments européens et internationaux (notamment la convention du Conseil de l'Europe relative à la cybercriminalité[3]).
Depuis son adoption, des actes criminels commis successivement au détriment de systèmes d'information ont souligné à plusieurs reprises la nécessité de renforcer la coordination européenne pour répondre à ce type d'attaques. Le déni de service massif qui a frappé l'infrastructure d'information estonienne en mai 2007 nous a opportunément rappelé les effets perturbateurs et destructeurs de ces atteintes.
Par conséquent, depuis l'adoption de la décision-cadre, il est apparu de plus en plus indispensable que chaque État membre procède à la mise en œuvre intégrale et précise de cet instrument. Le présent rapport s'avère d'autant plus opportun que le récent Conseil «Justice et affaires intérieures»[4] a explicitement mentionné la lutte contre la cybercriminalité dans ses conclusions, tout en déclarant attendre avec intérêt le rapport de la Commission sur la mise en œuvre de la décision-cadre.
1.2. Notifications et réponses
L'article 12, paragraphe 2, de la décision-cadre imposait aux États membres de communiquer pour le 16 mars 2007 le texte des dispositions transposant dans leur droit national les obligations qui leur incombent en vertu de la décision-cadre. À cette date, seul un État membre (la Suède) avait transmis le texte de ses dispositions nationales à la Commission, lesquelles étaient cependant incomplètes. La Commission a donc adressé un rappel aux États membres, les invitant à lui communiquer le texte de toutes les dispositions nationales transposant la décision-cadre, ainsi que toute information relative à la mise en œuvre de celle-ci qu'ils jugeraient utile.
À la date du 1er juin 2008, la Commission avait reçu la notification ou la réponse à son rappel de 23 États membres. Aucune réponse ne lui est parvenue de l' Espagne , de Malte , de la Pologne[5] et de la Slovaquie . En outre, les réponses formulées par la Grèce , l' Irlande et le Royaume-Uni , ainsi que l'ont admis leurs gouvernements respectifs, ne permettent aucunement d'évaluer la mise en œuvre dans ces États car celle-ci y a déjà été retardée.
Les sept États membres précités ont donc manqué à l'obligation de notification qui leur incombe en vertu de l'article 12, paragraphe 2, de la décision-cadre. Par conséquent, le présent rapport procède à l'évaluation de la législation des seuls 20 autres États membres.
1.3. Méthode et critères d'évaluation
Le présent rapport se fonde sur les informations communiquées par les États membres. Certaines données indispensables sont toutefois manquantes. En conséquence, l’évaluation et les conclusions tirées reposent partiellement sur des données incomplètes.
Aux termes de l'article 34, paragraphe 2, point b), du traité sur l'Union européenne, les décisions-cadres lient les États membres quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens. Pour déterminer en toute objectivité si une décision-cadre a été intégralement mise en œuvre par un État membre, certains critères généraux, élaborés à des fins analogues pour les directives, peuvent être appliqués mutatis mutandis aux décisions-cadres. En particulier, les dispositions transposant la décision-cadre doivent être efficaces au regard des objectifs poursuivis, elles doivent satisfaire aux exigences de clarté et de sécurité juridique, elles doivent garantir l'application intégrale du texte en des termes suffisamment clairs et précis et elles doivent être appliquées dans le délai prescrit.
Le présent rapport porte essentiellement sur le niveau formel de mise en œuvre des dispositions de droit pénal de la décision-cadre. Cependant, l' application effective de ces dispositions excède le cadre du présent rapport.
2. ÉVALUATION
2.1. Remarque générale concernant la mise en œuvre
La décision-cadre a été mise en œuvre très diversement dans les 20 États membres évalués. La plupart d'entre eux ont adopté pour leurs dispositions nationales une formulation proche de celle de la décision-cadre. D'autres ont appliqué une méthode de transposition plus indirecte et générale. Cela signifie que, dans de nombreux cas, les notions et expressions juridiques utilisées ne sont pas aisément comparables. Le présent rapport tiendra compte, autant que possible, du droit pénal général des États membres et signalera toute difficulté particulière associée à cette approche.
2.2. Définitions (article 1 er )
Les 20 États membres n'ont fourni aucune information claire ou complète sur la manière dont les définitions énoncées dans la décision-cadre ont été transposées dans leur droit national. Il ressort toutefois du contexte général que les définitions figurant dans leur ordre juridique interne sont conformes à la décision-cadre.
2.3. Accès illicite à des systèmes d'information (article 2)
La Commission estime que les 20 États membres ont tous intégré la principale obligation, qui consiste à ériger en infraction pénale punissable l'accès intentionnel non autorisé à l'ensemble ou à une partie d'un système d'information.
La dernière phrase du premier paragraphe laisse aux États membres le choix de ne criminaliser ce comportement que «dans les cas où les faits ne sont pas sans gravité». Les États membres suivants ont, plus ou moins explicitement, fait ce choix en considérant que leurs dispositions, décrites ci-après, visent des «cas où les faits ne sont pas sans gravité»:
- en Autriche , le critère juridique permettant d'établir une responsabilité pénale est l'existence d'une intention de commettre un acte d'espionnage et d'utiliser les données ainsi obtenues pour faire des bénéfices ou pour nuire;
- la République tchèque a érigé l'accès illicite en infraction pénale uniquement lorsque les données font ensuite l'objet d'une d'utilisation abusive ou sont endommagées;
- en Finlande , pour que la responsabilité pénale soit engagée, il faut que les données consultées aient été «mises en péril»;
- en Lettonie , l'accès illicite n'est criminalisé que «s'il en résulte un préjudice substantiel».
Il y a lieu d'interpréter de manière spécifique la notion de «cas où les faits ne sont pas sans gravité» pour pouvoir déterminer si les exemples susmentionnés sont conformes à la décision-cadre. Cette interprétation est nécessaire pour établir si au moins l'objet principal de la criminalisation voulue par la décision-cadre a été formellement intégré par les États membres. L'article 2 vise à préserver la confidentialité des systèmes d'information. En conséquence, la Commission estime que la notion de «cas où les faits sont sans gravité» doit désigner les cas dans lesquels l'accès illicite est d'importance mineure ou dans lesquels l'atteinte à la confidentialité du système d'information est d'un degré mineur. Or, les dispositions autrichiennes , finlandaises , lettones et tchèques susmentionnées donnent une description détaillée de circonstances – par exemple, l'existence d'une intention criminelle spécifique ou de risques ou dommages particuliers – qui ne sauraient être considérées comme compatibles avec l'interprétation évoquée ci-dessus. La Commission émet donc de sérieuses réserves sur la conformité des dispositions autrichiennes , finlandaises , lettones et tchèques avec la manière dont la décision-cadre conçoit les circonstances qui caractérisent les «cas où les faits ne sont pas sans gravité».
Plus généralement, cette divergence d'interprétation et d'application du choix de ne pas ériger certains actes en infractions pénales compromet sérieusement l'objectif de rapprochement des règles de droit pénal des États membres réprimant les attaques visant les systèmes d'information.
La Commission estime donc que seuls 16 des 20 États membres considérés ont démontré avoir correctement mis en œuvre l'article 2 de la décision-cadre.
L'article 2, paragraphe 2 permet aux États membres de décider que le comportement visé au paragraphe 1 ne soit érigé en infraction pénale qu’en cas d’infraction à une mesure de sécurité. C'est le choix qu'ont fait 7 des 20 États membres ( Allemagne , Autriche , Finlande, Hongrie , Italie, Lettonie et Lituanie ).
2.4. Atteinte à l’intégrité d’un système (article 3)
La Commission considère que les 20 États membres ont tous rempli la principale obligation, qui était de faire en sorte que le fait de provoquer intentionnellement une perturbation grave ou une interruption du fonctionnement d’un système d’information, en introduisant, transmettant, endommageant, effaçant, détériorant, modifiant, supprimant ou rendant inaccessibles des données informatiques devienne une infraction pénale punissable.
Il conviendrait toutefois, pour confirmer cette conclusion, d'approfondir l'examen de la pratique des États membres qui ont opté pour des dispositions relativement générales pour mettre en œuvre cet article détaillé de la décision-cadre. C'est le cas du Danemark qui affirme qu'une disposition de droit très générale relative à la destruction, à la détérioration ou à la suppression de tous types de biens couvre les critères énoncés dans cet article. Si elle est en principe acceptable, cette approche pose la question de savoir dans quelle mesure une telle disposition est applicable aux atteintes à l'accessibilité, notamment dans les cas où le préjudice est susceptible de n'être que temporaire[6].
La dernière phrase de l'article 3 laisse aux États membres le choix de ne criminaliser ce comportement que «dans les cas où les faits ne sont pas sans gravité». C'est le choix qu'ont fait six États membres qui ont, plus ou moins explicitement, déclaré que leurs dispositions, décrites ci-après, englobent les circonstances en question:
- la législation autrichienne ne criminalise les atteintes à l'intégrité que dans les cas «graves»;
- la législation tchèque exige l'existence d'une intention de causer un préjudice ou une perte[7];
- la législation allemande requiert que le système d'information dont l'intégrité a été atteinte revête «une importance considérable pour un tiers».
- la législation estonienne subordonne la responsabilité pénale à la condition qu'«un préjudice important soit … causé»;
- la législation lituanienne ne criminalise que les actes «ayant entraîné un préjudice»;
- la législation lettonne ne criminalise les atteintes à l'intégrité que lorsque «les dispositifs de protection sont endommagés ou détruits ou qu'une perte de grande ampleur est causée».
Une fois de plus, il y a lieu de donner une définition plus précise de la notion de «cas où les faits ne sont pas sans gravité» pour pouvoir déterminer si les exemples susmentionnés sont conformes à la décision-cadre. Cette nécessité a été examinée ci-dessus concernant l'article 2, au point 2.3.
L'article 3 vise à préserver l'intégrité des systèmes d'information. En conséquence, la Commission estime que la notion de «cas où les faits sont sans gravité» doit désigner les cas dans lesquels l'atteinte portée au système est d'importance mineure ou dans lesquels l'atteinte à l'intégrité de celui-ci est d'un degré mineur. Les dispositions pertinentes susmentionnées de l' Autriche , de l' Estonie , de la Lituanie et de la République tchèque semblent viser précisément ces circonstances et doivent être considérées comme conformes à l'exigence selon laquelle seuls les cas d'atteinte mineure échappent à la criminalisation.
Cependant, la disposition allemande mentionne l'importance que revêt que le système pour un tiers, tandis que la disposition lettonne mentionne un préjudice causé à des dispositifs de protection ou une perte de grande ampleur. La Commission estime que ces dispositions comportent un lien insuffisant avec l'intégrité des systèmes d'information pour pouvoir établir si elles sont conformes à la possibilité offerte dans la décision-cadre d'exclure de la criminalisation les «cas où les faits ne sont pas sans gravité» et que cela n'est pas compatible avec l'objectif de rapprochement des règles de droit pénal des États membres relatives aux attaques visant les systèmes d'information.
Plus généralement, cette divergence d'interprétation et d'application de la possibilité de ne pas ériger certains actes en infractions pénales compromet sérieusement l'objectif de rapprochement des règles de droit pénal des États membres relatives aux attaques visant les systèmes d'information.
La Commission estime donc que seuls 18 des 20 États membres considérés ont démontré avoir correctement mis en œuvre l'article 3 de la décision-cadre.
2.5. Atteinte à l’intégrité des données (article 4)
La Commission estime que les vingt États membres ont tous intégré la principale obligation, qui consiste à ériger en infraction pénale punissable le fait d’effacer, d’endommager, de détériorer, de modifier, de supprimer ou de rendre inaccessibles des données informatiques d’un système d’information de manière intentionnelle. De nombreux États membres ont transposé les articles 3 et 4 dans une seule disposition nationale. Une fois de plus, en ce qui concerne le Danemark , la Commission n'est pas convaincue qu'une disposition très générale portant sur la destruction, la détérioration ou la suppression de tous types de biens couvre les atteintes à l'intégrité de données informatiques énumérées dans cet article. Pour une brève analyse de cette question, voir le point 2.4 qui contient les observations relatives à l'article 3.
La dernière phrase de cet article laisse aux États membres le choix de ne criminaliser ce comportement que «dans les cas où les faits ne sont pas sans gravité». C'est le choix qu'ont fait trois États membres qui ont, plus ou moins explicitement, déclaré que leurs dispositions, décrites ci-après, englobent les circonstances en question:
- la législation tchèque exige l'existence d'une intention de causer un préjudice ou une perte[8];
- la législation estonienne exige qu'«un préjudice important soit … causé»;
- la législation lettonne (article 243 du code pénal) applique le critère suivant: «les dispositifs de protection sont endommagés ou détruits ou une perte de grande ampleur est causée».
Comme indiqué précédemment au point 2.4 concernant les mêmes dispositions transposant l'article 3 de la décision-cadre, la Commission estime que les dispositions tchèques sont, à cet égard, conformes à la décision-cadre et qu'il y a lieu de présumer que les dispositions estoniennes le sont également. Comme pour l'article 3, on ne saurait considérer que la Lettonie a rempli les obligations qui lui incombent en vertu de l'article 4 de la décision-cadre.
La Commission considère que 19 des 20 États membres considérés ont démontré avoir correctement mis en œuvre l'article 4 de la décision-cadre.
2.6. Incitation, aide et complicité et tentative (article 5)
La Commission estime que l'obligation principale, à savoir rendre punissable le fait d’inciter ou d’aider à commettre une infraction et de s’en rendre complice, est en principe remplie dans 18 des 20 États membres considérés. La Finlande et le Portugal ont communiqué des dispositions nationales portant uniquement sur la tentative et n'ont donc pas démontré comment leur droit national intègre les obligations en matière d'incitation, d'aide et de complicité. La Suède ne prévoit pas de sanction pour les faits mineurs d'incitation, d'aide, de complicité et de tentative. Cette approche n'est pas conforme aux exigences de la décision-cadre.
Les États membres peuvent décider de ne pas satisfaire à l'obligation de rendre punissable toute tentative d'accès illicite à un système d'information. L' Allemagne et la Slovénie ont indiqué avoir recouru à cette possibilité.
La Commission estime donc que l'article 5 a été correctement mis en œuvre dans 17 des 20 États membres considérés.
2.7. Sanctions et circonstances aggravantes (articles 6 et 7)
La Commission considère les 20 États membres ont tous fait en sorte que les infractions visées aux articles 2 à 5 de la décision-cadre soient passibles de sanctions pénales effectives, proportionnées et dissuasives[9]. Les sanctions prévues en cas d'atteinte à l'intégrité d'un système et d'atteinte à l'intégrité de données remplissent également les exigences spécifiques posées à l'article 6, paragraphe 2, de la décision-cadre.
La situation est plus variable s'agissant de l'obligation de tenir compte de circonstances aggravantes en cas d'infraction commise dans le cadre d'une organisation criminelle (article 7):
- les dispositions notifiées par l' Autriche ne satisfont manifestement pas à cette obligation imposée par la décision-cadre;
- la législation danoise ne mentionne pas explicitement les organisations criminelles;
- la législation pertinente de la Finlande ne fait pas mention des organisations criminelles;
- le Portugal doit procéder à quelques adaptations pour que sa législation soit pleinement conforme à la décision-cadre.
D'autres États membres ( Bulgarie , Italie , Lettonie et Suède ) n'ont pas inclus le critère relatif aux organisations criminelles dans les dispositions qu'ils ont notifiées à la Commission. Cependant, les textes communiqués indiquent que l'obligation de punir par des sanctions plus sévères les infractions commises dans le cadre d'organisations criminelles est déjà pleinement intégrée – fût-ce indirectement – dans les dispositions nationales de la Bulgarie , de l' Italie et de la Lettonie . Les dispositions de ces États membres qui s'appliquent à tous les types d'infraction en question infligent des peines minimales plus sévères que celle que prévoit l'article 7 de la décision-cadre. Les autorités suédoises affirment que les infractions commises dans le cadre d'organisations criminelles sont pleinement englobées dans la circonstance aggravante désignée par le vocable «infraction grave» dans le droit suédois. Elles ont fourni une explication détaillée à cet égard.
En conséquence, la Commission estime que l'article 6 a été correctement mis en œuvre par l'ensemble des 20 États membres considérés et que 16 d'entre eux satisfont aux obligations imposées à l'article 7 de la décision-cadre.
2.8. Responsabilité des personnes morales et sanctions à leur encontre (articles 8 et 9)
La Commission estime que 16 des 20 États membres considérés ont manifestement pris les mesures nécessaires pour faire en sorte que les personnes morales puissent être tenues responsables des infractions visées aux articles 2, 3, 4 et 5 dans les circonstances décrites à l’article 8, paragraphe 1.
La Lettonie , le Luxembourg [10] et la République tchèque [11] ont manqué à leur obligation de notifier à la Commission toute disposition en la matière.
L' Estonie affirme que ses dispositions relatives à la responsabilité civile couvrent tous les cas décrits à l'article 8, paragraphe 1, mais elle n'en a pas fourni le détail à la Commission. Il n'y a pas d'obligation quant à la nature de la responsabilité en question et les dispositions nationales relatives à la responsabilité administrative ou civile – lorsqu'elles sont pleinement conformes à l'article 8 – peuvent en théorie suffire. Cependant, l' Estonie n'a pas démontré que sa législation en matière de responsabilité civile couvre les obligations découlant de la décision-cadre.
L'article 8, paragraphe 2, fait obligation aux États membres de faire en sorte qu’une personne morale puisse être tenue responsable lorsqu’un défaut de surveillance ou de contrôle imputable à une personne visée au paragraphe 1 a rendu possible la commission d'une infraction au profit de cette personne morale par une personne placée sous son autorité. La Commission estime que 10 des 20 États membres ont rempli cette exigence. En ce qui concerne l' Estonie , la Lettonie , le Luxembourg et la République tchèque, les conclusions tirées pour l'article 8, paragraphe 1 valent également pour l'article 8, paragraphe 2. Par ailleurs, le Danemark , la Finlande , la France et le Portugal n'ont pas communiqué de dispositions pertinentes concernant la responsabilité des personnes morales. La France a déclaré que cette responsabilité découlait des règles régissant la responsabilité civile, mais elle n'a fourni aucune explication quant à sa teneur exacte.
Aux termes de l'article 9, les États membres prennent les mesures nécessaires pour faire en sorte qu’une personne morale déclarée responsable au titre de l’article 8, paragraphes 1 et 2, soit passible de peines effectives, proportionnées et dissuasives. Les 14 États membres qui ont communiqué des mesures transposant correctement l'article 8, paragraphe 1, ainsi que les 10 États membres qui ont rempli les obligations qui leur incombent en vertu de l'article 8, paragraphe 2, ont également satisfait aux obligations susmentionnées.
La Commission estime donc que seuls 12 des 20 États membres considérés ont démontré avoir pleinement mis en œuvre les articles 8 et 9 de la décision-cadre.
2.9. Compétence (article 10)
La Commission considère que 17 des 20 États membres ont rempli l'obligation d'établir leur compétence pour les infractions visées aux articles 2, 3, 4 et 5 de la décision-cadre (sur la base des critères spécifiques énoncés à l'article 10). Bien que les différentes méthodes utilisées par les États membres pour légiférer sur les questions de compétence rendent difficile toute comparaison, la Commission estime que l'article a été bien mis en œuvre. La Lettonie et le Portugal n'ont pas rempli leur obligation d'informer la Commission de leurs dispositions nationales transposant l'article 10.
L'option prévue au paragraphe 5, qui permet aux États membres de décider de ne pas appliquer la règle de compétence énoncée au paragraphe 1, points b) et c), ou de ne l’appliquer qu’à des situations ou des circonstances particulières, a été retenue et notifiée par la France (pour ce qui est du paragraphe 1, point b)) et par l' Allemagne , l' Autriche , la Finlande , la Hongrie et la Lituanie (pour ce qui est du paragraphe 1, point c)). L' Italie semble aussi avoir décidé de ne pas appliquer la règle de compétence énoncée au paragraphe 1, points b) et c), tandis que l' Estonie et la Roumanie n'appliquent pas celle qui est énoncée au paragraphe 1, point c), bien qu'elles ne l'aient pas formellement déclaré. L' Autriche a indiqué à la Commission qu'elle n'avait pas encore décidé si elle allait continuer à faire usage de cette option.
En conséquence, la Commission estime que l'article 10 a été correctement mis en œuvre dans 17 des 20 États membres considérés.
2.10. Échange d'informations (article 11)
Les États membres doivent veiller à recourir au réseau existant de points de contact opérationnels, disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept. La Commission n'a reçu aucune information lui permettant de vérifier que tel est bien le cas de l' Allemagne , la Belgique , de l' Italie , des Pays-Bas , du Portugal , de la République tchèque et de la Slovénie .
Pour ce qui tient à l'obligation de communiquer au secrétariat général du Conseil et à la Commission le nom des points de contact désignés (article 11, paragraphe 2), la Commission n'a reçu aucune notification claire de la part de l' Autriche , de la Bulgarie , de l' Italie et du Portugal .
La Commission estime donc que seuls 11 des 20 États membres considérés ont démontré avoir pleinement rempli les obligations qui leur incombent en vertu de l'article 11.
3. CONCLUSIONS
3.1. Degré de mise en œuvre
Le présent rapport livre un premier aperçu de la mise en œuvre de la décision-cadre dans les États membres. Il confirme la grande diversité des modalités de mise en œuvre adoptées par les États membres pour transposer la législation pénale et les difficultés qui en résultent pour évaluer la législation nationale sans pouvoir examiner la manière dont elle est appliquée dans la pratique.
La Commission constate que la décision-cadre est toujours en cours de transposition dans les États membres. Des progrès notables ont été enregistrés dans pratiquement tous les États membres évalués dans le présent rapport, au nombre de vingt. Le degré de mise en œuvre y est jugé relativement bon.
La principale préoccupation de la Commission tient aux sept États membres qui n'ont pas encore communiqué de mesures de transposition. La Commission invite les États membres qui n'ont pas encore transposé la décision-cadre dans leur droit national à remédier dès que possible à cette situation. Elle invite également les États membres à revoir soigneusement leur législation afin d'intensifier les efforts qu'ils déploient pour réprimer les attaques visant les systèmes d'information.
3.2. Évolutions futures
Les récentes attaques perpétrées en Europe depuis l'adoption de la décision-cadre ont souligné l'émergence de plusieurs menaces, que constituent notamment les attaques massives commises simultanément contre plusieurs systèmes d'information et l'utilisation accrue des «botnets»[12] à des fins criminelles. Ces attaques n'étaient pas au centre des attentions au moment de l'adoption de la décision-cadre. Pour faire face à ces évolutions, la Commission envisagera l'adoption de mesures afin de trouver de meilleures solutions pour répondre à la menace que représentent les botnets. Il pourrait s'agir de criminaliser spécifiquement certaines activités qui facilitent l'utilisation des botnets à des fins criminelles, tout en renforçant les sanctions minimales qui punissent les infractions commises par voie d'attaques massives et particulièrement dangereuses à l'encontre de systèmes d'information.
La Commission envisage également de promouvoir un recours effectif et opportun aux points de contact joignables vingt-quatre heures sur vingt-quatre et sept jours sur sept, qui sont mentionnés à l'article 11. Les incidents graves survenus en 2007 ont souligné la nécessité d'actions rapides et conjointes – souvent en collaboration avec des opérateurs privés – au niveau international pour faire face aux attaques massives visant les systèmes d'information. Afin de promouvoir le renforcement de la coordination et de la cohérence d'un tel dispositif de réaction, il conviendrait que les États membres continuent à étudier la possibilité de recourir aux mêmes points de contact que ceux qu'utilisent les réseaux du Conseil de l'Europe et du G 8[13]. La Commission envisagera notamment l'élaboration de lignes directrices de l'UE concernant le recours à divers réseaux internationaux pour résoudre les problèmes relatifs à la criminalité liée aux technologies de pointe.
[1] JO L 69 du 16.3.2005, p. 67.
[2] Considérant 1.
[3] http://conventions.coe.int/Treaty/fr/Treaties/Html/185.htm .
[4] Session des 8 et 9 novembre 2007 – voir http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressData/fr/jha/97063.pdf .
[5] La Pologne ayant procédé à une notification tardive, le 1er juillet 2008, celle-ci ne peut être prise en considération en raison des délais de publication impératifs, mais il en sera tenu compte ultérieurement, dans le cadre des actions qui suivront la publication du présent rapport.
[6] Ainsi que le souligne la notification adressée à la Commission par un autre État membre.
[7] Les autorités tchèques ont déclaré que cette exigence serait abandonnée lors de l'adoption du nouveau code pénal.
[8] Les autorités tchèques ont déclaré que cette exigence serait abandonnée lors de l'adoption du nouveau code pénal.
[9] Il convient de noter que l'Autriche semble se demander si les sanctions qu'elle inflige en cas d'atteinte à l'intégrité d'un système sont assez dissuasives.
[10] Une proposition législative couvrant cette obligation a été soumise au parlement luxembourgeois en 2007, mais la Commission n'a pas été avertie de son éventuelle adoption.
[11] Les autorités tchèques ont déclaré avoir adopté certaines dispositions relatives à la responsabilité civile dans ce contexte, mais elles n'ont ni communiqué le texte de ces dispositions ni décrit leur teneur.
[12] Par «botnet» (réseau de machines zombies), on entend un groupe d'ordinateurs compromis qui, sous un contrôle commun, exécutent des programmes.
[13] Article 35 de la Convention.
| Haut |